Blog Laboratorio Hispasec

Recientemente Emiliano y el que suscribe hemos participado (como representación de Hispasec) en un taller de trabajo de un proyecto europeo llamado FORWARD. Básicamente se trata de una iniciativa de la Unión Europea que trata de crear un grupo de expertos en materia de seguridad informática para afrontar las futuras amenazas en dicho contexto.



Aquí ocurrió el meollo de la cuestión




Localizado en Gottebörg (Suecia), ha reunido a una cantidad bastante impresionante de entidades de todo tipo, desde universidades (Carnegie Mellon, Mannheim, Técnica de Viena, etc.) hasta empresas privadas relacionadas directa o indirectamente con la seguridad informática (Banco de Austria, Boeing, Cisco, France Telecom, Nokia, Panda, Symantec, etc.) y por supuesto, la propia Comisión de la UE.

Se ha discutido largo y tendido sobre temas como protección de Infraestructuras Críticas, Malware, Fraude Onine, desde las perspectivas y experiencia de los distintos sectores participantes. Desde Hispasec, por ejemplo, hemos aportado nuestra visión sobre temas de malware y fraude, apoyándonos en nuestra experiencia día a día.

La verdad es que fué interesante ver las aportaciones de gente como la de la Carnegie Mellon, Boeing y Cisco, especialmente por aquello del enriquecimiento de ideas al verse desde distintas perspectivas. Sí echamos de menos la participación de fuerzas del orden involucradas en estos temas, por lo que en futuros encuentros esperamos que también participen (pensamos que dicha participación es simplemente ineludible para tratar este tema de forma efectiva).

En el inmenso flujo de malware que recibimos cada día en VirusTotal siempre encontramos alguna cosa curiosa como la captura de pantalla que colgaba Sergio hace unos días (Crear malware con prisas). Analizando los Troyanos bancarios recibidos hoy he encontrado uno con un gusto sexual un tanto especial:





Tal y como podéis apreciar, el Troyano está empleando como drop host al que enviar los datos bancarios capturados el subdominio "iwannafuckadogintheass"... los desarrolladores de malware pueden llegar a tener unas aficiones realmente peculiares...

Después de algo más de un año de trabajo entre bambalinas, y bajo el amparo de la Unión Europea, ha comenzado su andadura el proyecto WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats), formado por un grupo de universidades y empresas internacionales, entre las que se encuentra Hispasec.

El proyecto WOMBAT tiene como objetivo proporcionar nuevos métodos para entender las amenazas que atacan directamente a la economía de Internet y los ciudadanos. Para alcanzar su objetivo el proyecto aborda (i) concentrar en tiempo real los reportes de ataques de una gran diversidad de fuentes, (ii) enriquecer esos datos con varias técnicas de análisis automatizado y (iii) identificar la causa raíz de los mismos. El conocimiento adquirido será compartido con todos los agentes de seguridad interesados (ISPs, CERTS, empresas de seguridad, etc), de cara a aumentar el nivel de seguridad y confianza de los ciudadanos europeos.

El proyecto, parcialmente financiado por la Unión Europea bajo el Séptimo Programa Marco (7PM), está integrado por:

(Francia) - France Telecom R&D

(Francia) - Institut Eurecom

(Austria) - Technical University Vienna

(Italia) - Politecnico di Milano - Dip. Elettronica e Informaziones

(Holanda) - Vrije Universiteit Amsterdam

(Grecia) - Foundation for Research and Technology

(España) - Hispasec

(Polonia) - Research and Academic Computer Network

(Irlanda) - Symantec Ltd.

(Singapur)- Institute for Infocomm Research

Más información en la web del proyecto WOMBAT

Algunas veces comento con Román que me da "vergüenza" utilizar los números que movemos en determinadas áreas porque, de tan "escandalosos" que son, o bien nos acusan de alarmistas, o bien de exageración con tintes comerciales (cree el ladrón que todos son de su condición).

Afortunadamente, de vez en cuando, algún tercero da cifras relacionadas con nosotros. Por ejemplo en este artículo de PCWorld se puede leer:

"McAfee employs VirusTotal's shared information. The company receives more than 200,000 samples per month from the site, says Dave Marcus, security research and communications manager for McAfee Avert labs. He says that antivirus companies share with one another the thousands of samples they receive directly from users, too."

Teniendo en cuenta que los laboratorios antivirus reciben las muestras únicas que no detectan y si lo hace cualquier otro antivirus (sumar aquí también los falsos positivos), puede dar una idea de la cantidad de malware (mejor dicho, supuesto malware) que se mueve. Algún mes superamos el millón de ficheros analizados.

Realmente no es mérito nuestro, nosotros sólo nos encargamos de tener a punto la herramienta y dimensionarla para encauzar todos esos envíos que provienen desde particulares anónimos hasta los principales CERTs internacionales, con los que mantenemos acuerdos para facilitarles la automatización de sus análisis.

Es ese papel que nos ha tocado, en medio de este feedback con los laboratorios antimalware, el que nos da cierta posición de privilegio a la hora de abordar ciertos temas, como el del fraude por Internet.

Este es un perfecto ejemplo de cómo el programar malware con prisas termina por hacer que se creen especímenes cutres. Y no hablo ya de errores en programación, donde el propio agotamiento de quien crea decenas de nuevas muestras al día se hace patente en mucho malware analizado... En este ejemplo destaca un simple despiste tonto a la hora de capturar las imágenes que formarán parte de la estafa.

Este espécimen pertenece a la familia de los Delephant. Recibimos decenas de ellos en VirusTotal a diario, y afectan a una gran cantidad de bancos españoles, latinoamericanos y brasileños sobre todo. Esta variedad consiste en una aplicación que simula ser el navegador, y que se activa mientras cierra la ventana del verdadero Internet Explorer cuando el usuario visita la página del banco. Aunque es una simulación muy buena, está lejos de ser perfecta. Por ejemplo, pulsar en el 'candadito' para ver el certificado SSL no resulta en ninguna acción, puesto que toda la ventana no es más que una recreación del navegador, en ningún caso el Internet Explorer verdadero. Por supuesto, las contraseñas ahí introducidas viajarán por correo al atacante.

El caso es que este programador ha tomado una captura de pantalla de una de las páginas corporativas de la entidad para darle realismo... y ha incluido sin querer el menú contextual que aparece en Windows cuando se deja el cursor sobre la propia imagen en el visor estándar. Lo rodeado por el círculo rojo, simplemente no debería estar ahí, al creador del bicho se le ha colado de soslayo en la captura. Es que no se puede crear malware con prisas.

Siempre había pensado que sí... pero visto lo visto, hay quién lo lleva peor. Quién no se consuela es porque no quiere :)




http://www.youtube.com/watch?v=gvz4aY7nvNQ

Ayer nos comunicaron que VirusTotal Uploader, nuestra pequeña herramienta para enviar ficheros a VirusTotal a través del menú contextual de Windows, ha sido galardonada por la edición USA de PC World en su lista '101 Fantastic Freebies', para colmo encabezando el apartado de seguridad.